Akamai 在 2024 年 6 月收购了 Noname Security。本博文最初发表于 2023 年 7 月 12 日，现已归档。

如果您的工作是开发或保护 API，那么您可能已亲眼见证 API 安全漏洞测试给企业及其客户带来的一系列好处，包括：

• 确保 API 安全可靠地运行，并在不同情况下发挥预期性能

• 帮助识别 API 问题，例如数据格式错误、缺少数据或数据不准确，以及身份验证或授权中存在的错误

• 最大限度地减少停机时间，降低出错风险并提升软件系统的整体质量

值得注意的是，在开发阶段及早并经常对 API 进行全面、适当的测试，可帮助贵企业免遭 API 攻击 ，从而避免让您的数据、客户和运营能力面临重大风险。 

很多企业都使用模糊测试方法来评估 API 的安全性。 

在本博文中，我们将花一些时间来探讨什么是模糊测试、它存在的局限性，以及为什么必须制定策略和解决方案来查找和解决如今的攻击者频繁利用的常见 API 漏洞。

另外还会介绍一些有用的资源来帮助您尽早并经常对 API 进行测试。

模糊测试是一种软件测试技术，它通过向程序中输入随机或意外数据来识别程序中的漏洞或错误。

模糊测试的目的是使程序崩溃或出现异常行为，从而找出程序中可能存在的安全漏洞或编程错误。使用模糊测试可帮助识别单元测试或手动测试等传统测试方法无法发现的问题。

模糊测试可使用专用工具手动或自动执行，还可针对特定应用程序或 API 进行定制。模糊测试的结果可助您深入了解软件程序的稳健性和可靠性，并且可用于提升其整体安全性和性能。

尽管模糊测试对识别安全漏洞十分有用，但它自身也存在着局限性。这些局限性包括模糊测试只能进行已知漏洞测试而无法检测未知漏洞。例如，它可能无法识别复杂系统中的漏洞或者需要一系列特定事件才能触发的漏洞。

模糊测试还会受到测试过程中所用输入数据的质量的限制。值得一提的是，模糊测试可能会消耗大量时间和资源。

因此，尽管模糊测试很有用，但其局限性使得企业只能将它与其他专注于安全性的测试技术及工具（如果有）结合使用。

通过进行全面 API 测试，开发人员可以确保其软件应用程序能够发挥最佳性能并提供安全、无缝的用户体验。 

如果未进行适当的测试，API 中的一个小错误就可能会对整个应用程序的功能产生严重的下游效应。通过实施全面 API 测试策略，开发人员可以确保在向最终用户发布 API 之前一切都按预期运行。这不仅可以节省时间和资源，还可以提升应用程序的整体质量。

业务逻辑是用于管理系统或应用程序的行为的底层逻辑或规则。它定义了应用程序的预期行为，该行为基于一套规则、算法和工作流。

业务逻辑可确保应用程序按预期运行，并生成预期结果。如果您真的想找到潜在漏洞，那么必须测试您的业务逻辑。仅向应用程序提供随机输入数据来通过模糊测试检测漏洞是行不通的。

尽管模糊测试对识别安全漏洞十分有用，但它在检测与应用程序的业务逻辑相关的问题时效果不甚理想。这是因为模糊测试不会考虑应用程序的预期行为，而只专注于识别输入验证过程中的漏洞。

在开发阶段测试 API 可帮助您降低风险并避免产生与修复编码错误和错误配置相关的成本。您需要寻求的是以下核心功能并将其纳入您的流程中。

• 运行模拟恶意流量的各种自动化测试

• 在 API 进入生产环境之前发现漏洞，从而降低攻击得逞的风险

• 依据已确立的管理策略和规则，对 API 规范进行检查

• 根据实际需求或在 CI/CD 管道中进行以 API 为重点的安全测试

全面 API 安全测试 是 API 开发过程中的一个关键步骤，可确保 API 能够安全地按预期运行。为确保 API 可靠、稳定，并在其整个生命周期内发挥最佳性能，必须进行此阶段的测试。

未能进行全面 API 测试可能会导致出现错误和缺陷，从而影响 API 的安全性和可靠性。